QNAP Systemsは11月4日(現地時間)、複数の製品に複数の脆弱性が存在すると伝えた。この脆弱性は対処済み(Resolved)とされている。修正対象となっている脆弱性の深刻度は緊急(Critical)とされていることから注意が必要。該当する製品を使用しているかどうかを確認するとともに、製品を使用している場合は説明されている内容に従って対処することが望まれる。
修正対象となっている脆弱性に関する情報は次のページにまとまっている。
- Vulnerability in QTS, QuTS hero, and QuTScloud - Security Advisory | QNAP
- Vulnerability in QTS, Multimedia Console, and Media Streaming add-on - Security Advisory | QNAP
-
Vulnerability in QTS, QuTS hero, and QuTScloud - Security Advisory | QNAP
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- QTS 5.1.x
- QTS 5.0.x
- QTS 4.5.x
- QTS 4.3.6
- QTS 4.3.4
- QTS 4.3.3
- QTS 4.2.x
- QuTS hero h5.0.x
- QuTS hero h4.5.x
- QuTScloud c5.0.x
- Multimedia Console 2.1.x
- Multimedia Console 1.4.x
- Media Streaming add-on 500.1.x
- Media Streaming add-on 500.0.x
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- QTS 5.1.0.2399 build 20230515およびこれ以降のバージョン
- QTS 5.0.1.2376 build 20230421およびこれ以降のバージョン
- QTS 4.5.4.2374 build 20230416およびこれ以降のバージョン
- QTS 4.3.6.2441 build 20230621およびこれ以降のバージョン
- QTS 4.3.4.2451 build 20230621およびこれ以降のバージョン
- QTS 4.3.3.2420 build 20230621およびこれ以降のバージョン
- QTS 4.2.6 build 20230621およびこれ以降のバージョン
- QuTS hero h5.0.1.2376 build 20230421およびこれ以降のバージョン
- QuTS hero h4.5.4.2374 build 20230417およびこれ以降のバージョン
- QuTScloud c5.0.1.2374およびこれ以降のバージョン
- Multimedia Console 2.1.2 (2023/05/04)およびこれ以降のバージョン
- Multimedia Console 1.4.8 (2023/05/05)およびこれ以降のバージョン
- Media Streaming add-on 500.1.1.2 (2023/06/12)およびこれ以降のバージョン
- Media Streaming add-on 500.0.0.11 (2023/06/16)およびこれ以降のバージョン
修正対象となっている脆弱性に関する情報(CVE)は次のとおり。
- CVE-2023-23368 - OSコマンドインジェクションの脆弱性。複数のQNAPオペレーティングシステムに影響があり、脆弱性が悪用されるとリモートの攻撃者がネットワーク経由でコマンドを実行できる可能性がある
- CVE-2023-23369 - OSコマンドインジェクションの脆弱性。複数のQNAPオペレーティングシステムおよびアプリケーションに影響があり、脆弱性が悪用されるとリモートの攻撃者がネットワーク経由でコマンドを実行できる可能性がある
Chromeで拡張機能使っているなら要確認、260万人に認証情報窃取のリスク
